Средства и способы защиты информации

Содержание
  1. Способы защиты информации | Методы и средства защиты информации
  2. Способы неправомерного доступа к информации
  3. Методы защиты
  4. Организационные средства защиты информации
  5. Технические средства защиты информации
  6. Аутентификация и идентификация
  7. Классификация методов защиты информации
  8. Виды информационных угроз
  9. Современные методы защиты информации
  10. Средства защиты информационных систем
  11. Защита передаваемых электронных данных
  12. Классы безопасности информационных систем
  13. Методы и средства защиты информации в сетях, технологии защиты информации в Интернете
  14. Средства защиты информации в сети Интернет
  15. Технологии защиты информации в сетях
  16. Сетевые средства защиты информации
  17. Защита беспроводной сети
  18. Программные средства защиты информации в сети
  19. Организационные методы защиты данных
  20. Защита данных на личном компьютере (ноутбуке)
  21. Методы и способы защиты корпоративной информации | Блог Mail.Ru Cloud Solutions
  22. Как можно защищать корпоративную информацию
  23. Нетехнические способы защиты: правовые и организационные
  24. Физические средства защиты информации
  25. Программные средства защиты информации
  26. Аппаратные средства защиты информации
  27. Криптографические методы защиты информации
  28. Виды методов и средств защиты информации: физические, психологические и организационные
  29. Какие бывают информационные опасности
  30. Основные методы защиты информации
  31. Препятствие доступа
  32. Маскировка
  33. Регламентация
  34. Управление
  35. Побуждение
  36. Средства защиты информации
  37. Физические
  38. Психологические
  39. Организационные
  40. Законодательные
  41. Классификация безопасности информационных систем
  42. Заключение
  43. : Современные средства защиты информации от утечек

Способы защиты информации | Методы и средства защиты информации

Средства и способы защиты информации

Данные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов.

Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами.

В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы. 

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

  • резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможности использовать резервные системы электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. 
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/sposoby-zaschity-informatsii/

Классификация методов защиты информации

Средства и способы защиты информации

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

  • Потеря информации вследствие повреждения носителей – жестких дисков;
  • Ошибки в работе программных средств;
  • Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

  • Препятствие;
  • Маскировка;
  • Регламентация;
  • Управление;
  • Принуждение;
  • Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

  • Физические;
  • Программные и аппаратные;
  • Организационные;
  • Законодательные;
  • Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.

Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы.

Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки.

Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.

При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения.

При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации.

Для создания личной заинтересованности персонала руководители используют разные виды поощрений.

К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида.

В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования.

Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу.

ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований.

Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

  • D – нулевой уровень безопасности;
  • С – системы с произвольным доступом;
  • В – системы с принудительным доступом;
  • А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей.

Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля.

При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

  • Снабжение метками секретности всех ресурсов системы;
  • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
  • Структурирование доверенной вычислительной базы на хорошо определенные модули;
  • Формальную политику безопасности;
  • Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

Источник: https://camafon.ru/informatsionnaya-bezopasnost/metodyi-zashhityi

Методы и средства защиты информации в сетях, технологии защиты информации в Интернете

Средства и способы защиты информации

Что такое данные, где они хранятся, как используются и зачем их защищать? Кому они вообще нужны и как их защищать?

Данные можно условно разделить на два вида:

  • Персональная информация физического лица (фамилия, имя, отчество, данные паспортов (российского и заграничного), СНИЛС, ИНН, номера прав, данные своего автомобиля, номер телефона, адрес проживания, ФИО ближайших родственников и их данные и т.д.);
  • Сведения компаний (юридического лица: как коммерческие, так и государственные организации). Сюда входят сведения о руководителе, о сотрудниках, конфиденциальные данные, представляющие коммерческую тайну (оборот компании, банковские счета, перечень контрагентов – поставщиков и покупателей) и так далее.

Информация хранится на бумаге – паспорт, СНИЛС, бумажные копии документов – и в электронном виде в сети Интернет, в программах кадровых служб, в базе данных операторов связи, у контрагентов и поставщиков услуг, товаров и т.д.

Пользователями информации являются представители государственной власти (МВД, ФСБ, судебные приставы), службы HR компаний, сотрудники коммерческих организаций. Цели самые разные: обзвон для предложения своих товаров и услуг, ознакомление с потенциальным работником перед наймом, контактные данные…  И среди прочих, ищут персональные и корпоративные данные мошенники.

Одной из основных задач по обработке, хранению данных является предотвращение несанкционированного доступа к конфиденциальной информации. Задача эта решается путем выбора соответствующего метода защиты информации в сети. В теории все методы защиты информации в сети Интернет можно разбить на несколько больших групп:

  • создание на пути угрозы (атаки) препятствия – в том числе ограничение физического доступа к носителям информации;
  • управление уязвимостями и элементами защищаемой системы;
  • осуществление комплекса мероприятий, результатом которых становится маскировка защищаемой информации (сюда можно отнести средства криптографического шифрования);
  • разработка плана мероприятий, распределение ролей и уровней доступа (регламентация), при которых пользователи информационной системы (ИС) обязаны придерживаться заданных протоколов использования информации, снижающих риски несанкционированного доступа к сведениям.

Соблюдение правил доступа, обработки и хранения информации может достигаться за счет мер принуждения (в том числе угрозы административной, материальной, уголовной ответственности за нарушения) и побуждения (соблюдения установленных правил по морально-этическим и психологическим причинам).

Метод маскировки считается единственным надёжным способом защиты информации при ее передаче по каналами связи (в Интернете). В корпоративных и локальных сетях также высокую эффективность показывают следующие методы:

  • идентификация пользователей, ресурсов компьютерной сети (через присвоение идентификаторов и аутентификации при каждом сеансе работы с данными из ИС, аутентификация может производиться посредством использования электронной цифровой подписи, ЭЦП, пары логин-пароль и иными средствами);
  • регламентация доступов к любым ресурсам – контроль доступа и полномочий, ведение журнала учета обращений (запросов) к ИС, анализ соответствия запросов времени суток (с установлением границ рабочего времени), определение мер ограничения при несанкционированном доступе.

Средства защиты информации в сети Интернет

Средства защиты информации в Интернете бывают:

  • техническими и технологическими:
    • физическими – устройствами и системами, создающими препятствия на пути злоумышленников или дестабилизирующих факторов, сюда относятся в том числе и двери, замки и т.д.;
    • аппаратными – устройствами, встраиваемыми в ИС специально для защиты информации (могут создавать препятствия или шифровать данные);
    • программными – специализированным программным обеспечением (ПО), реализующим функции создания препятствий действиям злоумышленников, шифрующими данные или распределяющим уровни доступа;
  • законодательными – правовыми инструментами, стандартами (на уровне предприятия это могут быть нормативы, права доступа и т.д., включая устанавливающие материальную ответственность за небрежное или намеренное нарушение правил использования ИС);
  • организационными, в том числе сложившаяся практика обработки информации.

К организационным методам защиты информации от ее последующего распространения в сети можно назвать:

  • ограничение публикуемого контента в социальных сетях (путешествия, обстановку своего жилья, ФИО друзей, даты дней рождения, номера телефонов и другую контактную информацию);
  • использование сотрудниками специально созданных и не связанных с корпоративными аккаунтами личных аккаунтов на avito.ru, youla.ru и прочих досках объявлений;
  • контроль предоставления персональной информации в банках, налоговых органах, на вокзалах, в авиа/железнодорожных кассах, где могут быть посторонние «уши»;
  • контроль публикуемой на бейджах линейного персонала информации о работниках – достаточно должности и имени (зная ФИО сотрудника несложно найти его профиль в социальных сетях, т.е. однозначно идентифицировать личность);
  • уничтожение бумажных носителей информации (бланков, отчетов), содержащих конфиденциальные данные;
  • ограничение использования корпоративных аккаунтов, email для прохождения регистрации и авторизации в социальных сетях, на сайтах, в мобильных приложениях;
  • предоставление взвешенной информации о сотрудниках, организации на сайте, в социальных сетях (официальных страницах, группах).

Технологии защиты информации в сетях

Основным способом защиты передаваемых данных является их шифрование. Стойкость шифра зависит от сложности используемого алгоритма. Криптографические (математические) методы шифрования защищены от любых типов угроз, кроме физического доступа к носителям информации (с ключом шифрования).

Если передаваемые данные не являются секретными, а требуется лишь подтверждение их подлинности (подлинности подписей), то используется электронная цифровая подпись (ЭЦП). Подписанный ЭЦП электронный документ не защищен от несанкционированного доступа, однако не может быть изменен без сигнализации об этом.

Сетевые средства защиты информации

В общем случае, проникнуть в сеть предприятия можно только имея логин и пароль одного из пользователей, т.е. пройдя процедуру аутентификации.

При передаче информации посредством сети Интернет возможен перехват пользовательских имени и пароля.

Технически вопрос можно решить проведением дополнительной аутентификации машин-клиентов, двухфакторной системой авторизации, применением шифрования. Организационно – проведением аудита событий.

Защита беспроводной сети

С развитием беспроводных технологий и их доступностью в каждом доме и офисе появился wi-fi роутер. Но любое удобство несет за собой определенные риски. Сегодня на рынке стали доступны сканеры (снифферы – анализаторы) wi-fi сетей, которые могут получить данные паролей, установленных на Вашем беспроводном устройстве. Как защититься от взломщика?

  1. Используйте защищенный пароль. Требования к паролям изложены ниже.
  2. Регулярно обновляйте программное обеспечение роутера. Пригласите специалиста для этих целей. Данную процедуру проводите не реже чем раз в год.
  3. Обязательно запишите пароль к вашему устройству, который вам установил мастер-наладчик оборудования.
  4. Обязательно должен быть установлен формат шифрования сети WPA В ближайшее время появится стандарт шифрования WPA 3.

Программные средства защиты информации в сети

Одним из способов получения мошенниками логина и пароля для доступа в корпоративную сеть является метод подбора.

Для начала злоумышленнику может потребоваться получить варианты логина, и сделать это можно путем сбора почтовых аккаунтов – с сайтов, социальных сетей и других профилей лиц, принимающих решения (ЛПР). Иногда ЛПР используют несколько почтовых аккаунтов, не только корпоративные.

Получив тем доступ к личной почте, можно попробовать получить доступ уже к корпоративной (например, запросив пароль для ее восстановления). Как этому противостоять?

Большинство крупнейших почтовых сервисов и социальных сетей предлагают двухфакторную авторизацию – суть которой заключается в первичном вводе пароля, на втором шаге система авторизации сервиса просит ввести либо одноразовый код, либо код из специальных программ типа Google Authenticator или Microsoft Authenticator.

Google Authenticator

Microsoft Authenticator

Программы Authenticator обычно устанавливается на мобильный телефон и требует соединение с сетью Интернет. В режиме реального времени программа Authenticator генерирует одноразовые коды, которые требуются ввести на втором этапе авторизации пользователя.

Организационные методы защиты данных

Если Вы использовали Ваши аккаунты на корпоративных устройствах, либо в Интернет-кафе – не поленитесь – нажмите кнопку «Выход» и очистите Ваши данные в браузере. Не ставьте галочку «Запомнить» ваши данные аккаунтов в браузере.

Также требуется защита персональных данных в крупнейших сервисах по продаже личных вещей типа avito.ru, youla.ru – данные сервисы научились ранжировать продаваемые товары по разным критериям, в число которых входит стоимость.

Для защиты номера телефона при размещении объявлений в категории автомобили, сервисы предлагают замену фактически указанного номера на виртуальный и все звонки проходят через переадресацию.

Вы как пользователь можете сами определять кому давать свой настоящий номер, а кому нет.

Защита данных на личном компьютере (ноутбуке)

Для хищения личных данных пользователей и компаний каждый день в сети появляются сотни вирусов, троянов, шпионских программ, программ-вымогателей, которые попадая на компьютер или ноутбук практически с первых секунд начинают либо кидать информацию в Интернет, либо ее шифровать. Как защититься? Правила простые:

  1. Всегда используйте лицензионное программное обеспечение – операционную систему, офисные и антивирусные программы. Лицензионный софт постоянно обновляется – шанс подхватить вредоносное ПО значительно меньше. Заведите привычку раз в неделю проверять свое устройство антивирусом.
  2. Не работайте на своем домашнем устройстве под пользователем администратором, заведите две учетные записи и работайте всегда под пользователем с ограниченными правами. Если лень это делать – приобретите устройство компании Apple, которое защищено лучше и включает в себя вышеизложенные пункты защиты.
  3. Обязательно делайте резервные копии важной информации. В сети доступны за небольшие деньги облачные сервисы, которые позволяют надежно хранить ваши данные.
  4. При серфинге в интернет и вводе данных обязательно обращайте внимание, что вы действительно находитесь на сайте нужно организации, а не на его клоне – фишинговый сайт.
  5. Если к Вашему ноутбуку или компьютеру имеют доступ другие люди, не пользуйтесь сервисами хранения паролей на сайте.

Очень избитая тема – тема защиты паролей. В Интернете есть база скомпрометированных паролей – https://www.opennet.ru/opennews/art.shtml?num=48121, в которой содержится более 500 млн паролей. Проверьте пароли свои и своих сотрудников, не исключено, что и они так же окажутся в этой базе. Что делать? Придумайте свои интересные требования к паролям.

К примеру, книга «Граф Монте-Кристо» заканчивается фразой «Ждать и надеяться!» в итоге получаем замечательный пароль на английском языке – «:lfnmbyfltznmcz!».  Обязательно используйте и цифры, и символы, и буквы. Длину пароля задавайте не меньше 8 знаков. Думайте нестандартно. Обязательно раз квартал или полгода меняйте свои пароли к сервисам.

Не используйте один и тот же пароль для всех сервисов.

Если же Вы не надеетесь на свою память – установите приложение для хранения паролей на свой мобильный телефон – https://lifehacker.ru/10-menedzherov-parolej/.

Часто в интернете требуется для авторизации на сервисе ввести личную почту или данные аккаунта от социальных сетей. Заведите себе дополнительный в аккаунт, который вы будете использовать для таких целей.

Помните, что любая регистрация на сайтах в Интернете несет за собой СПАМ, и, если вы активный пользователь Интернета – дополнительный аккаунт – ваша защита.

Внедрите такой же подход для своих сотрудников, используя метод побуждения.

Источник: https://integrus.ru/blog/it-decisions/metody-sredstva-tehnologii-zashhity-informatsii-v-seti-internet.html

Методы и способы защиты корпоративной информации | Блог Mail.Ru Cloud Solutions

Средства и способы защиты информации

Почти у любой компании есть закрытая информация: конфиденциальные данные, база клиентов и сотрудников. Эту информацию можно защищать по-разному, например, ограничить к ней доступ, шифровать сообщения и закрыть серверы с данными на замок.

Разберем разные способы и конкретные средства защиты информации, которые сейчас применяют чаще всего.

Как можно защищать корпоративную информацию

Есть два основных способа защиты информации:

Установить четкие правила и регламенты работы с информацией, назначить наказания за их нарушение. Такие меры защиты объясняют, что можно, а что нельзя делать с информацией, как и от кого ее нужно защищать, чем грозит несанкционированный доступ к данным.

Эти меры — первый рубеж обороны. Они остановят тех, кто не готов ради информации игнорировать правила, нарушать законы и нести наказание.

Закрыть информацию от несанкционированного доступа с помощью технических инструментов: аппаратуры или специального программного обеспечения. Это средства защиты конфиденциальной информации, направленные против:

  • тех, кто пытается нарушить правила и законы;
  • тех, кто может случайно удалить или повредить важную информацию, раскрыть секретные сведения, например, в силу неумения управлять доступом к информации. Проще запретить или ограничить нежелательные действия, чем следить за каждым шагом сотрудников, которые могут быть не в курсе всех тонкостей информационной безопасности.

Такие средства защищают саму информацию — не дают получить к ней доступ, прочитать данные, изменить их или повредить.

Разберем разные виды защиты информации подробнее.

Нетехнические способы защиты: правовые и организационные

Правовые методы защиты информации. Законы, связанные с информацией, которые государство устанавливает и обязывает соблюдать. Например, в России к таким правовым методам относится 152-ФЗ, устанавливающий правила работы с персональными данными, или статья 272 УК РФ, описывающая ответственность за неправомерный доступ к информации.

Правовые методы не защищают информацию сами по себе — закон не помешает злоумышленнику взломать сервер. Но он устанавливает наказание, которое злоумышленник за это понесет, а значит, убережет конфиденциальную информацию от тех, кто не хочет платить штраф или садиться в тюрьму.

Кроме того, законы устанавливают меры защиты, которые компании обязаны обеспечить при работе с информацией.

Например, государство может ввести лицензирование и сертификацию средств защиты информации — проверять, действительно ли программы и физические инструменты безопасны. В России этим занимается ФСТЭК.

Организационные методы защиты информации.

Это методы, которые предпринимает тот, кто хранит информацию. Обычно сюда относится работа с сотрудниками и внутренними регламентами компании:

  1. Подбор надежных и ответственных сотрудников.
  2. Составление и подписание договоров о неразглашении информации.
  3. Разграничение уровней доступа для сотрудников, чтобы определенная информация была доступна только узкому кругу лиц.

Организационные средства защиты информации — это почти то же самое, что правовые, только правила работы с информацией устанавливает не страна, а отдельная компания.

Но правовых и организационных мер недостаточно — информация все еще может быть повреждена из-за системных сбоев или похищена теми, кто игнорирует закон и правила компании. Поэтому существует четыре вида технических средств защиты информации: физические, аппаратные, программные и криптографические.

Физические средства защиты информации

От шифрования, антивирусов, межсетевых экранов и другого защитного ПО не будет толку, если злоумышленник сможет просто прийти в серверную и похитить жесткие диски с данными. Поэтому информационные системы нужно в первую очередь защищать снаружи, с помощью простых физических средств защиты: дверей, решеток, сигнализаций, камер наблюдения и замков.

Данным на серверах угрожают не только посторонние люди, но и разные стихийные бедствия, например пожар. Поэтому пожарные сигнализации и системы пожаротушения тоже относят к физическим средствам защиты информации.

Такая техническая защита конфиденциальной информации не мешает получить доступ к информации через сеть. Они защищают носители информации на месте, предотвращая физические кражи и поломки.

Программные средства защиты информации

Когда мы говорим о защите данных, то в первую очередь вспоминаем пароли или антивирусы. Это как раз программные средства защиты информации — простое или комплексное программное обеспечение, которое устанавливают непосредственно на компьютеры и серверы.

К программным средствам защиты относят, например:

  1. Антивирусы, которые распознают, изолируют и удаляют вредоносные программы, способные украсть или повредить информацию.
  2. Средства разграничения доступа, системы аккаунтов и паролей, которые закрывают посторонним доступ к информации.
  3. Инструменты виртуализации, которые позволяют создавать «песочницы» для работы недоверенных приложений в виртуальных пространствах, не подвергая опасности основные серверы.
  4. Программные межсетевые экраны (или файерволы, брандмауэры), которые отслеживают трафик и уведомляют, если из сети на компьютер поступают подозрительные сигналы из неизвестных источников.
  5. DLP-системы, которые предотвращают утечку информации, например, помешают сотруднику скопировать секретную базу данных на флешку.
  6. SIEM-системы, которые фиксируют подозрительную активность, например, слишком частые запросы к базе данных.

«Ни одно программное решение не защищает информацию полностью — оно блокирует одни возможности атаки, но оставляет пространство для других. Для построения эффективной системы защиты информации нужно подбирать несколько программных средств и выстраивать комплекс, где каждое средство “прикрывает тылы” другого. Только в этом случае ваша информация будет полностью защищена».

Федор Музалевский, RTM Group

Аппаратные средства защиты информации

Аппаратные средства занимают промежуточное положение между физическими и программными:

  • Как физические средства, это устройства, которые защищают информацию физическими методами, например, генерируют шумы, блокируют посторонние сигналы или контролируют доступ в сеть.
  • Как и программные средства, аппаратные встроены в саму систему и способны защитить информацию.

К аппаратным средствам защиты относят, например:

  1. Аппаратные межсетевые экраны. Они установлены между сегментами сети, например там, где локальные сети подключены к интернету, и обеспечивают межсетевое экранирование. Соединения серверов с внешними сетями проходят через эти экраны и фильтруются — система не пропускает посторонние соединения, например от неизвестных источников.
  2. Генераторы шума. Эти устройства создают информационный шум, маскируют беспроводные каналы связи и шифруют данные.
  3. Аппаратные регистры паролей — физические устройства, которые хранят и передают пароли. Например, специальная флешка, которую нужно обязательно вставить в компьютер, чтобы получить доступ к информации. Даже если хакер подберет пароль, без этой флешки он ничего не сможет сделать.
  4. Аппаратные модули доверенной загрузки. Они не позволяют загрузить на компьютер, например, постороннюю операционную систему, из которой можно получить доступ к информации на жестком диске.

Часто программные средства умеют делать почти то же самое, что аппаратные. Но аппаратные обычно производительнее и надежнее — их сложнее взломать, у них меньше уязвимостей.

К примеру, взломщик может попытаться заставить компьютер загрузить стороннюю операционную систему с флешки и получить доступ к базе данных на жестком диске в обход основной системы и антивируса. Аппаратный модуль доверенной загрузки не позволит это сделать, а любые программные средства будут бессильны.

Поэтому для максимальной защиты программные средства важно дополнять аппаратными, выстраивая несколько уровней защиты информации, даже если кажется, что их функции дублируют друг друга. Также стоит использовать сертифицированные средства защиты информации — их надежность подтверждена контролирующими государственными органами.

Криптографические методы защиты информации

Криптографические методы выделяют в отдельную группу инженерно-технических средств защиты информации, хотя они обычно выступают как часть программной или аппаратной защиты, например хранилища ключей шифрования.

Криптографическая защита выполняет две функции:

  1. Шифрует данные. Даже если злоумышленник получит доступ к информации, он увидит только зашифрованное сообщение, для расшифровки которого нужен ключ.
  2. Подтверждает подлинность передаваемой информации и личность отправителя с помощью механизмов аутентификации. Если файл кто-то изменит или попытается подделать, это сразу станет понятно.

«Данные редко шифруют постоянно или хранят зашифрованными — для работы их пришлось бы постоянно расшифровывать и зашифровывать. Обычно криптографические средства используют при передаче информации: для защиты каналов связи и создания электронных подписей. Если канал защищен криптографическими методами, то при перехвате данных злоумышленник увидит только абракадабру, которую не сможет прочитать без секретного ключа. А средства электронной подписи позволяют проверить подлинность сообщения — их обычно применяют в рамках документооборота с финансовыми организациями и государственными органами. Электронная подпись надежна, потому что ее практически невозможно подделать».

Михаил Коптенков, начальник отдела аудита и консалтинга Центра компетенций по ИБ компании «Техносерв»

Криптографические методы защиты еще называют математическими, потому что они работают на основе формул.

Упрощенно описать работу криптоалгоритма для защиты сообщения можно так:

  1. У отправителя есть определенный ключ, который он держит в секрете — последовательность битов (нулей и единиц). Такой ключ может обеспечивать не только шифрование данных, но и аутентификацию отправителя для того, кто получит сообщение.
  2. Отправитель превращает сообщение в последовательность битов и передает в криптографическое устройство (или приложение). Кроме сообщения, на вход дается секретный ключ.
  3. Криптографическое устройство берет сообщение и производит с ним определенные математические преобразования. На выходе этих преобразований получается две последовательности битов — зашифрованное сообщение и его уникальная электронная подпись, подтверждающая подлинность.
  4. Сообщение отправляется принимающей стороне вместе с подписью.
  5. Принимающая сторона знает ключ для расшифровки сообщения и проверки подписи. Проводятся преобразования, чтобы расшифровать сообщение и проверить подпись.

Если ключ неверный или данные были изменены, обратное преобразование не сработает — данные получатся бессмысленными, а подпись не совпадет.

Источник: https://mcs.mail.ru/blog/metody-i-sredstva-zashchity-informacii-personalnyh-dannyh

Виды методов и средств защиты информации: физические, психологические и организационные

Средства и способы защиты информации

Защита информации — это не только область персональных сведений или данных в цифровом формате.

Если рассматривать среднестатистическое предприятие или компанию, речь вполне может идти о платежных документах, договорах, конфиденциальных соглашениях, которые хранятся на бумаге.

Защита информации в цифровом мире

Поэтому классификация методов защиты информации базируется на комплексном подходе, позволяющем охватить любые утечки, носители, потоки данных.

Какие бывают информационные опасности

Существует два типа опасных факторов для любой информации. Это несанкционированный доступ и повреждение по естественным причинам.

Однако эти два указанных сегмента делятся на несколько категорий, которые методы и средства защиты информации классифицируют как имеющие отличные друг от друга показатели возможного ущерба.

В частности, несанкционированный доступ подразделяется на:

  • доступ к данным для ознакомления, копирования, с целью последующего использования в целях, подразумевающих нанесение вреда владельцу (репутационного, материального, измеряемого в недополученной прибыли);
  • доступ с целью изменения, что может повлечь за собой самые различные последствия, включая уголовную и административную ответственность;
  • доступ с целью удаления для нанесения ущерба различного рода.

Методы защиты информации в информационных системах выделяют и сугубо криминальные действия, не направленные на определенного владельца или сегмент данных. Современные злоумышленники шифруют файлы, базы, шантажируя компании.

Деньги вымогаются за возврат информации в исходное состояние или иные действия.

Известный вирус-шифровщик wanna cry

Естественные причины связаны только с отказом оборудования и достаточно легко нейтрализуются. Это может быть выход из стоя элементов хранения данных (жестких и оптических дисков, ленточных носителей, контроллеров RAID массивов).

Хотя такие случаи легко учитываются и прогнозируются, с построением системы дублирования и резервного копирования — период времени, необходимый для восстановления информации, зачастую причиняет репутационные потери, вызывает отказ в обслуживании и другие неприятные последствия.

Основные методы защиты информации

Стоит понимать, что методы защиты информации от несанкционированного доступа, повреждений, потери — всегда рассматривают проблемы комплексно.

Чтобы показать, как это работает, стоит осветить понятие утечки. Утечка данных — это не только кража информации вследствие взлома компьютерной системы или похищения средства хранения.

Утечка информации к злоумышленникам

Несанкционированным доступом может считаться получение злоумышленником устной информации о применяемых средствах защиты, паролях, кодах доступа, либо получение последнего вследствие манипулирования отдельно взятой единицей персонала.

Все методы защиты информации в сетях и хранилищах внутри здания компании — можно разделить на несколько значимых организационных процессов.

Препятствие доступа

Препятствие в получении информации означает управление доступом и ограничение количества лиц, имеющих доступ к данным.

В разрезе практического применения это:

  1. прочные двери;
  2. системы охранной сигнализации контроля проникновения;
  3. управление доступом в виде домофонных систем, идентификационных карт.

Отлично показывает себя система контроля периметра.

Система контроля периметра фиксирующая правонарушителя

Она построена не только с применением датчиков, но и фиксирует происходящее на видео.

Маскировка

Криптографические методы защиты информации — это самая понятная среднестатистическому пользователю форма маскировки данных. Но на практике это понятие может быть достаточно широким.

К примеру, данные могут:

  • зашифровываться аппаратным методом, при хранении на специальных носителях;
  • кодироваться программными методами, что усложняет расшифровку, если злоумышленник не знает принципа;
  • данные могут кодироваться с применением разделенных ключей, для ограничения доступа только фиксированным списком лиц.

Несколько проблематичным в разрезе скорости дешифровки является методика помещения данных в графические изображения.

Накопитель данных с технологией защиты посредством ввода ключа

Безобидная на вид картинка с видами морского берега может легко содержать информацию о торговом балансе и другие секреты компании.

Регламентация

Методы защиты информации могут заключаться в создании четких схем манипулирования данными. В комплексе мер — может предусматриваться и разделение зон ответственности между отдельными группами работников.

Как результат достигается сложность в доступе к полному объему данных путем манипулирования, а также использования небрежности и привычек человека.

Ознакомление с должностными инструкциями

Для регламентирования операций с данными — создаются должностные инструкции, другие указания уровня предприятия, с которыми работники ознакамливаются и обязаны следовать.

В отдельных случаях проводятся обучения, специальные инструктажи и проверки знаний.

Управление

Управление — это самые большие по объему и списочному составу методы защиты компьютерной информации.

Именно на примере данного сегмента можно понять, насколько результативна методика постоянного мониторинга и контроля.

  1. Достигается получение полнообъемной статистики, позволяющей проводить прогнозирование и стратегическое планирование будущего развития, изменений.
  2. Определяется на раннем уровне нештатный режим работы оборудования, нестандартно высокое число запросов к данным, что позволяет на раннем уровне детектировать сетевые атаки.
  3. Отслеживать уровень износа оборудования, параметры функционирования.

Аналогично можно рассматривать и работу с персоналом.

Пример системы контроля доступа

Системы управления доступом, идентификационные карты и пароли для доступа к оборудованию, отслеживание сделанных запросов и многое другое — способны предоставить данные, полезные как для отслеживания нарушений, так и организации гибкого планирования.

Системы принуждений считаются самыми эффективными. Они легко организуются и контролируются.

Такие методы защиты информации от утечки могут включать:

  • внедрение криминальной, дисциплинарной, административной ответственности за разглашение информации;
  • предоставление работнику специально оснащенного, соответствующего уровню доступа и разработанному регламентом компании рабочего места;
  • полный контроль перемещений работника, ограничение вносимого в рабочую зону оборудования (флешки, телефоны, любая носимая электроника), запрет на вынос документов и материальных ценностей (компьютерные комплектующие).

На практике создать лагерь строгого режима — достаточно просто.

Персональные ID карты для отслеживания перемещения работника

Для этого потребуется незначительное количество охраны, тщательно продуманная сеть камер, считывателей идентификационных документов.

Побуждение

Побуждение — это методы повышения мотивации персонала. В отличие от принуждения, побуждение работает на положительном настрое.

Поэтому — такая методика сложна и не отличается предсказуемой результативностью.

Проведение корпоративного тимбилдинга

В список мер может входить корпоративная политика проведения праздничных мероприятий, тимбилдинг с внушением мысли о единстве с коллективом и многое другое.

На практике — рекомендуется сочетать меры принуждения и побуждения, поскольку последнее в чистом виде не только сложно прогнозируется в разрезе результатов, но и требует постоянного вложения сил и времени для воздействия на персонал.

Средства защиты информации

В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.

Физические

Физические методы крайне схожи с созданием препятствий как общего принципа действия.

Однако существует конкретизация разделения принимаемых мер.

  1. Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
  2. С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
  3. Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.

Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.

Система защиты серверной комнаты в случае пожара

Или же систем пожаротушения.

Психологические

Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.

В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.

Восхождение на карьерную лестницу

Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.

Организационные

Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.

В список включается:

  • разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
  • формирование общих должностных инструкций;
  • разработка системы наказаний, норм ответственности за нарушения;
  • реализация мер, призванных повысить уровень знаний и умений персонала.

Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.

Законодательные

Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.

Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.

Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.

Заключение коллективного договора

Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.

Классификация безопасности информационных систем

Принятые по международной классификации уровни безопасности можно описать простыми словами, на знакомых среднестатистическому пользователю примерах.

  1. Уровень D — нулевая безопасность, при которой каждый пользователь получает полный доступ к данным любой степени значимости. Как пример — можно упомянуть читальный зал библиотеки.
  2. Уровень С — система с ранжированием доступа. Формируется полный и частичный объем данных, к которым могут обращаться группы пользователей. Для идентификации используется парольная система. В зависимости от сложности, уровень С может содержать самый разный механизм контроля, в том числе — с делегированием ответственности.
  3. Уровень В типичен для большинства крупных систем. Здесь ведется полная статистика запросов, сформированных потоков данных, действий пользователей. В ходу развернутая система идентификации и регулирования прав, с полным мониторингом происходящего и делегированием ответственности. Хранимая информация резервируется, предусматривается дублирование функционала системы, отслеживание и блокировка внешних атак.

Высший класс А — относится к сертифицированным системам, соответствующих требованиям безопасности, связанным с определенными сферами применения. Четкой регламентации особенностей подобных структур попросту не существует. Кроме этого, свод требований может зависеть от законодательных норм и принятых правил обмена информацией конкретного государства.

Заключение

Любой человек так или иначе сталкивается с методами обеспечения информационной безопасности. Он является участником правовых, когда подписывает договор с банком.

Выступает объектом информационной системы класса В, когда обменивается постами в социальных сетях. Рассматривается как точка приложения принуждающих, организационных мер на рабочем месте.

Поэтому обладать минимальными знаниями о рекомендованных обществом мерах обеспечения информационной безопасности — просто обязан.

Например: не разглашать номера паспортов друзей, не давать номера их мобильных телефонов без явного на то согласия, не рассказывать шапочному знакомому о секретах компании. Минимальный набор простых действий способен значительно облегчить жизнь, а его отсутствие — сильно ее испортить.

: Современные средства защиты информации от утечек

Источник: https://bezopasnostin.ru/informatsionnaya-bezopasnost/klassifikatsiya-metodov-zashhity-informatsii-v-sovremennyh-realiyah.html

Бизнес
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: